Im Juni hat ein Sicherheitsreport zum digitalen Impfausweis u.a. ein gravierendes Problem benannt: es sieht so aus, als ob nur ein zentraler Schlüssel für alle Apotheken (Schlüssel-ID 5e455666a51e7857) benutzt wird.

Wenn das stimmt, dass alle Apotheken einen einzigen Schlüssel benutzen, ist ein Rückruf von falschen Zertifikaten aus Apotheken nur schwer möglich.

Show thread
Follow

Das Problem wäre dann jetzt nicht das Apotheken-Portal mit dem Gastzugang, sondern die fehlende Zurückrufbarkeit von falschen Zertifikaten.

@johl @Cyb3rrunn3r wie kann ich prüfen, von welchem Schlüssel mein Impfzertifikat ausgestellt wurde?

@johl @Cyb3rrunn3r der gdata-Post liest sich so, als sei das Problem nur mit Zertifikaten vorhanden, deren ID mit 01DE/DAVPU/... beginnen. Die ID meines Impfzertifikats beginnt mit 01DE/A... und sollte nicht betroffen sein, obwohl von einer Apotheke ausgestellt. Dort steht auch, dass schon vor dem gdata-Bericht angefangen wurde, individuelle Schlüssel pro Apotheke zu verwenden, also ist die Sperrung von Zertifikaten höchstwahrscheinlich möglich.

@technicallypossible hab gerade geschaut. Meins ist so wie deines. 01DE/A…..

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!